um modelo conceitual para especificação da gestão de riscos de segurança em sistemas de informação

Texto

(1)UNIVERSIDADE FEDERAL DE SANTA MARIA CENTRO DE TECNOLOGIA PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA DA PRODUÇÃO. UM MODELO CONCEITUAL PARA ESPECIFICAÇÃO DA GESTÃO DE RISCOS DE SEGURANÇA EM SISTEMAS DE INFORMAÇÃO DISSERTAÇÃO DE MESTRADO. Josiane Kroll. Santa Maria, RS, Brasil 2010.

(2) UM MODELO CONCEITUAL PARA ESPECIFICAÇÃO DA GESTÃO DE RISCOS DE SEGURANÇA EM SISTEMAS DE INFORMAÇÃO. por. Josiane Kroll. Dissertação apresentada ao Programa de Pós-Graduação em Engenharia da Produção da Universidade Federal de Santa Maria (UFSM, RS), como requisito parcial para a obtenção do grau de Mestre em Engenharia da Produção. Orientador: Prof. Dr. Marcos Cordeiro d’Ornellas (UFSM). Santa Maria, RS, Brasil 2010.

(3) Universidade Federal de Santa Maria Centro de Tecnologia Programa de Pós-Graduação em Engenharia da Produção. A Comissção Examinadora, abaixo assinada, aprova a Dissertação de Mestrado. UM MODELO CONCEITUAL PARA ESPECIFICAÇÃO DA GESTÃO DE RISCOS DE SEGURANÇA EM SISTEMAS DE INFORMAÇÃO elaborada por Josiane Kroll como requisito parcial para obtenção do grau de Mestre em Engenharia da Produção COMISSÃO EXAMINADORA:. Prof. Dr. Marcos Cordeiro d’Ornellas (UFSM) (Presidente/Orientador). Prof. Dr. Raul Ceretta Nunes (UFSM). Prof. Dr. Lisandra Manzoni Fontoura (UFSM) Santa Maria, 12 de março de 2010..

(4) Você vê as coisas como elas são e pergunta: por quê? Mas eu sonho com coisas que nunca foram e pergunto: por que não? — BERNARD SHAW.

(5) RESUMO. Dissertação de Mestrado Programa de Pós-Graduação em Engenharia da Produção Universidade Federal de Santa Maria UM MODELO CONCEITUAL PARA ESPECIFICAÇÃO DA GESTÃO DE RISCOS DE SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Autor: Josiane Kroll Orientador: Prof. Dr. Marcos Cordeiro d’Ornellas (UFSM) Local e data da defesa: Santa Maria, 12 de março de 2010. A falta de alinhamento entre os conceitos que envolvem a gestão de riscos de segurança tem causado um impasse na adoção de modelos de gestão de riscos de segurança pelas organizações. Há diversas normas e metodologias de gestão de riscos e de segurança que possuem uma série de conceitos e são definidos de várias maneiras. Para obter o alinhamento desses conceitos e estabelecer um vocabulário próprio para a gestão de riscos, este trabalho utilizou a modelagem conceitual para o domínio da gestão de riscos de segurança. Com a modelagem conceitual foi possível abstrair esses conceitos e obter um modelo conceitual para a especificação da gestão de riscos de segurança, chamado GRiSSI (Gestão de Riscos de Segurança de Sistemas de Informação). Algumas métricas também foram propostas para os conceitos identificados no modelo conceitual, com o intuito de contribuir para promover melhorias e efetuar correções em processos de segurança. O modelo conceitual proposto foi validado por meio da verificação feita como a aplicação de auditorias e métricas para modelos UML.. Palavras-chave: Gestão de Riscos de Segurança, Métricas de Segurança, Sistemas de Informação, Modelagem Conceitual..

(6) ABSTRACT. Master’s Dissertation Programa de Pós-Graduação em Engenharia da Produção Universidade Federal de Santa Maria A CONCEITUAL MODEL FOR ESPECIFICATION FOR SECURITY RISK MANAGEMENT OF INFORMATION SYSTEMS Author: Josiane Kroll Advisor: Prof. Dr. Marcos Cordeiro d’Ornellas (UFSM) The lack of an alignment among concepts that involve security risk management has caused the stalemate in the adoption of security risks management models for organizations. There are several standards and risk management methodologies, having a large set of concepts, defined in many ways. In order to get an alignment of concepts and establish a suitable vocabulary for risk management, the conceptual modeling was used within the realm of security risks management. By using the conceptual modeling it was possible to abstract concepts and obtain a conceitual model for the specification of security risks management, called GRiSSI - Gestão de Riscos de Segurança de Sistemas de Informação (Information Systems Security Risk Management). Some metrics were also proposed for the identified concepts in the conceitual model, to make further improvements and corrections in security processes. The proposed conceitual model was validated through the application audits and metrics for UML models.. Keywords: Security Risk Management, Security Metrics, Information Systems, Conceitual Modeling..

(7) LISTA DE FIGURAS. 1.1 1.2. Áreas de domínio da pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Estrutura da dissertação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19. 2.1. Representação gráfica da PD ISO/IEC Guide 73:2002 . . . . . . . . . . . . . . . . . . . . .. 3.1. Integração da norma ISO/IEC 27001:2006 com a norma ISO/IEC 21827:2008 no modelo de referência Fonte: HUMPHREYS, 2007. . . . . . . . . . . . . . . . . . . . . . 51. 4.1 4.2. 4.4 4.5 4.6 4.7 4.8. Abordagem utilizada para a definição do modelo conceitual GRiSSI . . . . . . . . Modelo de informação para os negócios e para usuários de tecnologias da informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modelo para a segurança da informação conforme os conceitos da norma ISO/IEC 13335 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Representação do risco no modelo CRAMM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Organização dos conceitos no contexto da gestão de riscos . . . . . . . . . . . . . . . . Diagrama de classes dos conceitos baseados em ativos . . . . . . . . . . . . . . . . . . . . . Diagrama de classes dos conceitos relacionados ao risco . . . . . . . . . . . . . . . . . . . Diagrama de classes dos conceitos relacionados ao tratamento dos riscos. . .. 5.1 5.2 5.3 5.4. Etapas de desenvolvimento da abordagem GQM . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Estrutura do modelo GQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Modelo GQM - primeira etapa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Modelo GQM - segunda etapa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102. 6.1. Abordagem utilizada para o processo de validação do modelo conceitual GRiSSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113. 1. Modelo conceitual de gestão de riscos de segurança de sistemas de informação (GRiSSI). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132. 2. Modelo conceitual GRiSSI e as respectivas métricas associadas a NBR ISO/IEC 27005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134. 4.3. 25. 57 58 63 67 75 77 81 83.

(8) 3. Modelo conceitual GRiSSI e as respectivas métricas associadas ao OCTAVE e ao CRAMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136. 4. Modelo conceitual GRiSSI para a gestão de riscos de segurança de SI . . . . . . 138.

(9) LISTA DE TABELAS. 3.1 3.1. Estrutura de distribuição das PAs da norma ISO/IEC 21827:2008 (SSE-CMM) Estrutura de distribuição das PAs da norma ISO/IEC 21827:2008 (SSECMM)(continuação) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Quadro comparativo de características das normas ISO/IEC 27001:2006 e ISO/IEC 21827:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Quadro comparativo das PAs da norma ISO/IEC 21827:2008 (SSE-CMM) com os controles da norma ISO/IEC 27001:2006. . . . . . . . . . . . . . . . . . . . . . . . . .. 44. 4.1 4.2 4.3 4.4 4.5. Alinhamento para as normas de gestão de riscos . . . . . . . . . . . . . . . . . . . . . . . . . . Alinhamento para as normas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alinhamento para as normas de gestão e maturidade de riscos de segurança Alinhamento para as metodologias de gestão de riscos de segurança . . . . . . . . Nome dos conceitos para o modelo conceitual GRiSSI . . . . . . . . . . . . . . . . . . . .. 68 69 70 71 73. 5.1 5.3 5.4 5.5 5.6 5.7. Quadro comparativo de características utilizadas para a construção de métricas de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Relação entre métricas e seus conceitos associados . . . . . . . . . . . . . . . . . . . . . . . . 103 Tabela de análise de métricas a partir da NBR ISO/IEC 27005 . . . . . . . . . . . . . 104 Tabela de análise de métricas para a norma NIST SP 800-30 . . . . . . . . . . . . . . . 106 Tabela de análise de métricas para a PA03 da norma ISO/IEC 21827:2008. . . 107 Tabela de análise de métricas para o OCTAVE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108. 6.2 6.3 6.4. Tabela de métricas para modelos UML aplicadas ao GRiSSI . . . . . . . . . . . . . . . . 117 Tabela de resultados obtidos com aplicação das auditorias . . . . . . . . . . . . . . . . . . 117 Tabela de resultados obtidos com aplicação das métricas . . . . . . . . . . . . . . . . . . 119. 3.2 3.3. 39 40 43.

(10) LISTA DE ABREVIATURAS E SIGLAS. ABNT. Associação Brasileira de Normas Técnicas. CVSS. Common Vulnerability Scoring System. GQM. Goal Question Metric. GRiSSI. Gestão de Riscos de Segurança de Sistemas de Informação. GSI. Gestão de Segurança da Informação. IDEAL. Initiating, Diagnosing, Establishing, Acting and Learning. IEC. International Electrotechnical Commission. ISO. International Organization for Standardization. NBR. Norma Brasileira Reguladora. NIST. The National Institute of Standards and Technology. PDCA. Plan-Do-Check-Act. SEI. Software Engineering Institute. SGSI. Sistema de Gestão da Segurança da Informação. SI. Sistemas de Informação. SSE-CMM Systems Security Engineering Capability Maturity Model TI. Tecnologia da Informação. UFSM. Universidade Federal de Santa Maria. UML. Unified Modeling Language.

(11) SUMÁRIO. 1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Definição do Problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Domínio da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Escopo da Pesquisa e suas Limitações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4 Contribuições da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5 Estrutura da Dissertação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 15 16 17 18 18 19. 2 A GESTÃO DE RISCOS DE SISTEMAS DE INFORMAÇÃO . . . . . . . . . . . . 2.1 O Papel Estratégico da Gestão de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Normas e Metodologias de Gestão de Riscos de Sistemas de Informação 2.2.1 Normas de gestão de riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2 Normas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.3 Normas de gestão e maturidade de riscos de segurança . . . . . . . . . . . . . . . . . 2.2.4 Metodologias de gestão de riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Conclusões Parciais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 21 21 24 24 26 28 30 35. 3. INTEGRANDO NORMAS DE GESTÃO E MATURIDADE DE RISCOS DE SEGURANÇA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.1 O Desenvolvimento de Sistemas de Gestão da Segurança da Informação 37 3.2 Normas de Segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 3.2.1 A estrutura de desenvolvimento da norma ISO/IEC 27001:2006. . . . . . . . . 38 A estrutura de desenvolvimento da norma ISO/IEC 21827:2008 (SSE3.2.2 CMM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 3.2.3 Análise comparativa das normas ISO/IEC 27001:2006 e ISO/IEC 21827:2008 41 3.3 Integrando as Normas de Segurança ISO/IEC 27001:2006 e ISO/IEC 21827:2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 3.4 Um Modelo de Referência para o Desenvolvimento de SGSI . . . . . . . . . . . 50 3.5 A Abrangência das Normas de Segurança no Contexto Organizacional 53 3.6 Conclusões Parciais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55.

(12) 4. UM MODELO CONCEITUAL PARA A GESTÃO DE RISCOS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO . . . . . . . . . . . . . . . . . . . . . . . . 4.1 A Abordagem Utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 A Importância da Modelagem Conceitual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 O Alinhamento de Conceitos no Domínio da Gestão de Riscos de Segurança de Sistemas de Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.1 Reduzindo o universo de conceitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.2 A análise de conceitos em torno do risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.3 Tabelas de alinhamento de conceitos para o GRiSSI . . . . . . . . . . . . . . . . . . . . . Relacionando conceitos no contexto da gestão de riscos de segurança de SI 4.3.4 Apresentação do modelo conceitual para a específicação da gestão de 4.3.5 riscos de segurança de SI (GRiSSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.6 A definição dos conceitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relações do modelo conceitual para a gestão de riscos de segurança de 4.3.7 Sistemas de Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4 Conclusões Parciais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 56 56 58 60 60 61 67 71 73 74 83 85. 5. DEFININDO MÉTRICAS DE GESTÃO DE RISCOS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 5.1 Métricas de Segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 5.2 Abordagens para a Definição de Métricas de Segurança . . . . . . . . . . . . . . . 88 5.2.1 Métricas baseadas na ISO/IEC 21827:2008 (SSE-CMM) . . . . . . . . . . . . . . . 88 5.2.2 Métricas conforme o CVSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 5.2.3 Métricas baseadas nas perspectivas Top-Down e Bottom-up . . . . . . . . . . . . . . 91 5.2.4 Métricas baseadas em padrões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 5.2.5 Análise comparativa das abordagens para a construção das métricas . . . . . 95 5.3 A modelagem usando GQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 5.4 Normas e Métodos de Gestão de Riscos para a Validação das Métricas 102 5.4.1 Normas de gestão e maturidade de riscos de segurança . . . . . . . . . . . . . . . . . 103 5.4.2 Metodologias de gestão de riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 5.5 Melhorando o Modelo Conceitual para a Gestão de Riscos de Segurança de Sistemas de Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 5.6 Conclusões Parciais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 6 6.1 6.2 6.3 6.4. VALIDANDO O MODELO CONCEITUAL DE GESTÃO DE RISCOS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÕES (GRiSSI) . . . . . . A Abordagem Utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modelos de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modelos de Métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aplicação das Auditorias e Métricas para o Modelo Conceitual GRiSSI. 112 112 114 114 115.

(13) 6.4.1 Resultados obtidos com a aplicação das auditorias para modelos UML . . . 117 6.4.2 Resultados obtidos com a aplicação das métricas para modelos UML . . . 118 6.5 Conclusões Parciais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 7 CONSIDERAÇÕES FINAIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 7.1 Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 7.2 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 REFERÊNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 ANEXO 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 ANEXO 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 ANEXO 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 ANEXO 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137.

(14) AGRADECIMENTOS Agradecimento ao Laboratório de Computacão Aplicada (LaCA) do Centro de Tecnologia (CT) da Universidade Federal de Santa Maria (UFSM), aos colegas que estão vinculados a ele, pelo apoio em todos os sentidos e também pela infraestrutura disponibilizada para a elaboração deste trabalho. Agradecimento a Profa. Lisandra M. Fontoura, pela amizade, pelo constante incentivo e pela contribuição dada a este trabalho..

(15) 15. 1. INTRODUÇÃO. Muitas organizações têm sofrido frequentes ataques contra a segurança dos Sistemas de Informação (SI), o que tem causado a preocupação constante de muitos gestores. Esses ataques resultam em consideráveis perdas financeiras e morais que levam as organizações a adotar medidas rigorosas de segurança. Nesse contexto, as organizações buscam aliar medidas e procedimentos de segurança ao processo de gestão de riscos. A gestão de riscos é tida como uma forma de priorizar e controlar os riscos de segurança que tem maior potencial de dano. É por meio da gestão de riscos que são identificados os principais impactos, ameaças e vulnerabilidades que cercam um SI. Além disso, a gestão de riscos de segurança é necessária para assegurar a proteção dos SI e para diminuir a incidência de falhas de segurança. A utilização das normas e metodologias de segurança aliadas ao desenvolvimento da gestão de riscos podem trazer maior confiabilidade ao processo e assegurar que as organizações mantenham-se atreladas as leis e regulamentações governamentais. Com a gestão de riscos é possível estruturar a política de segurança organizacional de acordo com o ambiente de exposição ao risco. A gestão de riscos também é um requisito de qualquer política de segurança e deve estar associada a uma ou mais normas que possam embasar um processo de proteção e guiar a formulação estratégias de segurança..

(16) 16. 1.1. Definição do Problema. As organizações estão tornando-se cada vez mais expostas aos riscos de segurança, devido principalmente ao aumento da dependência tecnológica que incide sob a utilização constante de informações sigilosas. O aumento de ameaças que ocasionam ataques, quebras de segurança que provocam a perda da confidencialidade, integridade e disponibilidade das informações, tem chamado a atenção dos órgãos governamentais. A Instrução Normativa GSI No 1 publicada em 13 de junho de 2008, que trata da disciplina da gestão de segurança da informação e comunicações na Administração Pública Federal, direta e indireta, demonstra essa preocupação. Ela objetiva orientar as organizações no desenvolvimento de medidas e procedimentos de segurança necessários para manter os SI protegidos. Com isso muitas organizações tem buscado manter-se atreladas as normas e metodologias para desenvolver seus programas de segurança. No entanto, as organizações não dispõem de um modelo de gestão de riscos específico que possa atender as recomendações da Instrução Normativa GSI No 1 e que possa ser aplicado por todas as organizações. Também é possível verificar que os modelos de gestão de riscos encontrados na literatura possuem características distintas, alguns considerados mais completos que outros ou ainda mais eficientes. No entanto, cada modelo de gestão de riscos é desenvolvido com propósito de atender uma necessidade específica, não podendo dessa forma ser aplicado para todas as organizações. Isso tem dificultado a sua adesão pelas organizações, onde podem ser encontrados muitos modelos de gestão de riscos na literatura, mas nenhum deles tem se consagrado e tornado-se referência para as organizações. O modelo conceitual de gestão de riscos proposto nesta dissertação, busca solucionar os problemas como a definição de conceitos relacionados ao processo de gestão de riscos de segurança. Há vários elementos dentro da gestão de riscos que são tratados de maneira distinta por normas de segurança e de gestão de riscos. Isso causa um impasse.

(17) 17. na definição dos conceitos que estão relacionados ao risco.. 1.2. Domínio da Pesquisa. O foco dessa pesquisa é a gestão de riscos de segurança de SI. Para o seu desenvolvimento são abordados outros temas relacionados que são as normas de segurança, normas e metodologias de gestão de riscos, a integração de normas de segurança, a modelagem conceitual e as métricas de segurança, úteis na construção do modelo conceitual de gestão de riscos. Na Figura 1.1 podem ser observadas as áreas de domínio da pesquisa que resultam no modelo conceitual de gestão de riscos de segurança proposto.. Figura 1.1: Áreas de domínio da pesquisa. As normas de segurança são tratadas buscando-se verificar as recomendações de segurança que são oferecidas. Também é verificado como cada norma trata da gestão de riscos e fornece subsídios para a mitigação e para a avaliação do risco. Já nas normas e metodologias de gestão de riscos são identificados os métodos e técnicas que envolvem o desenvolvimento do processo de avaliação de riscos e seus objetivos. A integração de normas segurança, é discutida para cumprir com as orientações da Instrução Normativa GSI No 1 e assegurar que o modelo conceitual proposto esteja alinhado a metodologia imposta pelo governo federal..

(18) 18. Com uma série de normas de segurança e de gestão de riscos é necessário conceituar os elementos que compõem todo o processo de gestão de riscos. Dessa forma, a modelagem conceitual é utilizada como uma ferramenta que auxília na definição do escopo da gestão de riscos de segurança de SI. Dessa forma, a pesquisa agrupa as recomendações feitas pelas normas, fornece o mapeamento dos conceitos que envolvem a gestão de riscos, servindo para a elaboração de um modelo conceitual de gestão de riscos que será denominado GRiSSI (Gestão de Riscos de Segurança de Sistemas de Informação).. 1.3. Escopo da Pesquisa e suas Limitações. O escopo da pesquisa abrange o gerenciamento de riscos de segurança em SI e a utilização de normas de segurança. As recomendações feitas pela Instrução Normativa GSI No 1 ocasionaram a adesão à norma ISO/IEC 27005, já que a mesma faz parte da família ISO/IEC 27000, a qual é sugerida pela Instrução Normativa GSI No 1. Entretanto, mudanças em leis ou regulamentações podem provocar a substituição da norma.. 1.4. Contribuições da Pesquisa. Com o desenvolvimento do modelo conceitual GRiSSI baseado nas metodologias e normas de segurança e de gestão de riscos, espera-se contribuir no contexto organizacional para o aumento das garantias de proteção dos SI, por meio do controle de riscos, para a diminuição das perdas e danos provenientes de falhas de segurança e para o cumprimento das leis e regulamentações governamentais. No contexto científico e para a comunidade acadêmica, os resultados deram origem a um modelo conceitual de gerenciamento de riscos de segurança com a elaboração da modelagem conceitual. O atrelamento de normas e metodologias de gestão de riscos pode também servir de referência para a padronização dos processos segurança. As métricas construídas para o modelo conceitual também estimularão novas fontes de.

(19) 19. pesquisa além de contribuir para o gerenciamento dos riscos de segurança.. 1.5. Estrutura da Dissertação. Esta dissertação está organizada em sete partes, como apresentada na Figura 1.2.. Figura 1.2: Estrutura da dissertação. O capítulo 1 apresenta a introdução, onde são tratados os aspectos que envolvem o desenvolvimento da pesquisa. No capítulo 2 é realizada a revisão da literatura com o objetivo de entender a abrangência da gestão de riscos, normas e metodologias no contexto da segurança organizacional. Nos capítulos 3, 4 e 5 são apresentadas as principais contribuições dessa dissertação. O capítulo 3 aborda a integração das normas de gestão e maturidade de riscos de segurança, de modo a apresentar como essas normas estão relacionadas e podem ser integradas para assegurar maiores garantias de segurança. No capítulo 4 é abordado o desenvolvimento de um modelo conceitual para a gestão de riscos de segurança de SI, que será denominado GRiSSI. O capítulo 5 apresenta a definição de métricas para o modelo conceitual. No capítulo 6 é apresentada a validação/verificação do modelo conceitual GRiSSI por meio da utilização de auditorias e métricas para modelos UML. O modelo conceitual é verificado para que o mesmo e as normas possam ser validadas para o tratamento de.

(20) 20. riscos de segurança. Por fim, o capítulo 7 traz as considerações finais e as conclusões obtidas com o desenvolvimento da pesquisa..

(21) 21. 2. A GESTÃO DE RISCOS DE SISTEMAS DE INFORMAÇÃO. Nesta seção é realizada uma análise da gestão de riscos para o gerenciamento estratégico da segurança da informação, buscando indícios de melhorias nas medidas de segurança tomadas pelas organizações. São apresentadas as normas e metodologias de gestão de riscos de SI que favorecem a implementação da segurança pelas organizações. Parte dos resultados obtidos neste capítulo estão presentes no artigo “Aplicação da Metodologia de Avaliação de Riscos para o Gerenciamento Estratégico da Segurança da Informação”, publicado nos anais XLI SPBO (Simpósio Brasileiro de Pesquisa Operacional)1 e no artigo “Uma Análise Comparativa das Abordagens de Gerenciamento de Riscos OCTAVE, NIST SP 800-30, CRAMM, FRAP, COBRA e Risk Watch”, publicado no XVI SIMPEP2 .. 2.1. O Papel Estratégico da Gestão de Riscos. Estabelecer o gerenciamento da segurança das informações é um grande desafio para as organizações que crescem em complexidade de mecanismos de segurança e em 1. O XLI Simpósio Brasileiro de Pesquisa Operacional foi realizado no período de 1o a 4 de setembro de 2009, em Porto Seguro-BA. Teve como tema “A Pesquisa Operacional na Gestão do Conhecimento”. Os trabalhos aceitos foram publicados no Livro de Resumos do Simpósio. 2 O XVI SIMPEP (Simpósio de Engenharia da Produção) foi realizado no período de 09 a 11 de novembro de 2009 na cidade de Bauru -SP, com o intuito de discutir e apresentar as pesquisas desenvolvidas voltadas para Engenharia de Produção e suas ênfases. Informações sobre o evento podem ser obtidas em http://www.simpep.feb.unesp.br/.

(22) 22. incertezas de proteção (CARALLI e WILSON, 2004). Desenvolver além de um plano de segurança pode ser muito difícil para as organizações que procuram um modelo de gestão de segurança. A gestão de riscos aplicada ao gerenciamento estratégico da segurança contribui para aumentar as garantias de proteção das informações das organizações. Isso pode ser observado pelos seguintes fatores: • A tomada de decisões reflete no conhecimento prévio dos riscos de segurança: com os dados obtidos pela gestão de riscos é possível verificar quais são as ameaças e as vulnerabilidades que podem resultar riscos para a organização. A tomada de decisões então, é realizada baseada em fatores de segurança. Isso pode trazer mais confiança as organizações e reduzir erros de planejamento. • A política de segurança é bem estruturada: ao estabelecer uma política de segurança é necessário ter conhecimento das necessidades de proteção da organização. A gestão de riscos fornece um panorama da segurança que contribui para o estabelecimento de procedimentos e métodos adequados. • O plano de segurança focaliza ações futuras: planejar a segurança envolve estabelecer ações de curto e longo prazo que garantam a progressão gradual da segurança. O plano de segurança pode ser mais bem estruturado e direcionado aos objetivos da organização. • Os investimentos em segurança são devidamente planejados: os investimentos em segurança podem ser reduzidos quando bem planejados. Uma melhor distribuição dos recursos financeiros destinados à segurança pode ser realizada através da definição das urgências e prioridades. • São tomadas ações preventivas e não corretivas: gasta-se muito tempo tentando reparar danos ocorridos pela falta de segurança que poderiam ser evitados com.

(23) 23. simples medidas de proteção. A gestão de riscos fornece informações necessárias para que sejam tomadas ações de prevenção a ataques. • Os recursos de segurança são gerenciados: com a avaliação de riscos é verificada a necessidade de proteção de cada recurso e então são implementados mecanismos de segurança com uma finalidade específica. O gerenciamento dos recursos de segurança é realizado através do planejamento e da correta distribuição da segurança. Assim, não há uma sobrecarga de processos de segurança e nem de mecanismos de segurança desnecessarios. Com isso, ganha-se mais desempenho e se reduz custos. • A sensibilização da segurança está focada na realidade da organização: conscientizar os funcionários e os clientes baseando-se em dados obtidos pela avaliação de riscos é expor fatos reais da organização que realmente necessitam de medidas de proteção. Dessa forma a organização pode melhor elaborar a documentação de normas e regulamentações de segurança para os usuários. • A organização tem mais credibilidade dos clientes: uma organização que possui uma boa reputação e fornece garantias de segurança das informações dos seus clientes, consegue ampliar seus negócios. • O custo-benefício da implementação da segurança é relatado: a gestão de riscos fornece evidências dos benefícios que a organização pode ter se protegendo e dos custos decorrentes de não se prevenir. A gestão de riscos fornece uma perspectiva futura de possíveis danos e cabe a cada organização decidir que medidas devem ser tomadas. A gestão de riscos influência diretamente no estabelecimento de estratégias de segurança. A identificação das ameaças, vulnerabilidades e dos riscos fornece indícios para implementação de estratégias. O planejamento financeiro destinado à segurança deve estar alinhado aos objetivos de proteção da organização. Com a definição de prioridades.

(24) 24. de proteção a organização pode gerenciar a estrutura de segurança e garantir que a segurança acompanhe o crescimento da organização.. 2.2. Normas e Metodologias de Gestão de Riscos de Sistemas de Informação. O desenvolvimento da gestão de riscos de SI é realizado por meio de normas e metodologias que dão suporte as organizações na definição dos processos de mitigação, avaliação e gerenciamento de riscos. Nesta seção, são apresentadas as principais normas e metodologias de gestão de riscos utilizadas pelas organizações e citadas na literatura. 2.2.1. Normas de gestão de riscos. Com o objetivo de guiar o desenvolvimento da gestão de riscos, foram elaboradas as normas que definem elementos para a organização do processo de gestão de riscos. Entre essas normas podem ser citadas a norma PD ISO/IEC Guide 73:2002 (ISO/IEC Guide 73,2002), a AS/NZS 4360 (AS/NZS 4360, 1999) e a ISO/IEC 31000:2008 (ISO/DIS 31000, 2008). Atualmente essas normas têm uma grande aceitação pelas organizações e estabelecem um modelo clássico para o gerenciamento de riscos (BEZERRA, NAKAMURA e RIBEIRO, 2006). 2.2.1.1. PD ISO/IEC Guide 73:2002. A PD ISO/IEC Guide 73:2002 é um guia para escritores de normas, que fornece definições genéricas de termos de gestão de riscos (AIRMIC, ALARM e IRM, 2002). Este guia é entendido como um documento genérico de alto nível para a preparação ou revisão de padrões, que incluem o gerenciamento de riscos. Seu objetivo é contribuir para a compreensão mútua entre os membros da ISO e IEC no fornecimento de orientações sobre a prática da gestão dos riscos. As definições do PD ISO/IEC Guide 73:2002 são mais amplas que as contidas na ISO/IEC Guide 51 que trata dos aspectos de segurança (AIRMIC, ALARM e IRM, 2002)..

(25) 25. As questões relacionadas com a segurança nas definições dadas na norma ISO/IEC Guide 51 são indicadas no Anexo A da norma ISO/IEC Guide 73. A estrutura da PD ISO/IEC Guide 73:2002 conciste de três seções: escopo, visão geral dos termos e definições de gestão de riscos e termos e definições. Os termos e definições são agrupados em 4 subseções: termos básicos, termos relacionados com pessoas ou organizações afetadas pelo risco, termos associados com a avaliação de riscos e termos relacionados ao controle e tratamento de riscos (BORNMAN, 2004). Na Figura 2.1 é mostrada a representação gráfica da estrutura da PD ISO/IEC Guide 73:2002.. Figura 2.1: Representação gráfica da PD ISO/IEC Guide 73:2002. 2.2.1.2. AS/NZS 4360. A norma AS/NZS 4360 foi elaborada em 1999 pelo Comitê OB/7, com o objetivo de fornecer uma estrutura genérica para o estabelecimento dos contextos para a identificação, avaliação, tratamento, monitoramento e comunicação de riscos (BORNMAN, 2004apud AS/NZS 4360, 1999). A AS/NZS 4360 pode ser aplicada em todos os níveis estratégicos e operacionais da organização e em conjunto com outras normas de segurança já existentes. Visando atender diferentes setores de atividades, a AS/NZS 4360 se tornou a principal referência para a ISO 31000 - General guidelines for principles and implementation of risk management..

(26) 26. 2.2.1.3. A norma ISO/IEC 31000:2009. A ISO/IEC 31000:2009 - General guidelines for principles and implementation of risk management é uma norma de gerenciamento de riscos genérica que estabelece um padrão globalmente válido para a gestão de riscos (ERBEN, 2008). A norma ISO/IEC 31000 começou a ser desenvolvida em 2005 e é baseada na norma AS/NZS 4360. O objetivo de desenvolvimento da ISO/IEC 31000 é fornecer um documento para estabelecer princípios e orientações práticas para o processo de gestão de riscos. Esse documento poderá ser aplicável em todas as organizações e para todos os tipos de riscos. A ISO/IEC 31000 também fornece um entendimento comum da gestão de riscos, com o propósito de orientar e recomendar requisitos de segurança. O princípio básico da gestão de riscos da ISO/IEC 31000 está alinhado com o ciclo de melhoria PDCA (Plan, Do, Check, Act), reformulado como “concepção do quadro, execução, acompanhamento e revisão e melhoria contínua” (ISO/DIS 31000, 2008). 2.2.2. Normas de segurança. Além das normas que são especificamente desenvolvidas para a gestão de riscos, há outras normas como a ISO/IEC 13335 (GMITS) e a ISO/IEC 15408 (Common Criteria) que são direcionadas ao gerenciamento de segurança de TI. Por apresentarem estruturas que são aplicadas em conjunto com outras normas de gestão de riscos, estas normas são descritas nesta subseção a fim de evidenciar a gestão da segurança no qual o controle dos riscos é altamente necessário. 2.2.2.1. ISO/IEC 13335. A norma ISO/IEC 13335 ou GMITS (Guidelines for the Management of IT Security) é um guia padrão para o gerenciamento de segurança de TI. Sua estrutura está concentrada em cinco estágios (RÖHRIG, 2003): • Estágio 1: Conceitos e modelos para a segurança de TI - contém uma visão geral.

(27) 27. dos conceitos básicos que são utilizados pela ISO/IEC 13335; • Estágio 2: Gerenciamento e planejamento de segurança de TI - descreve os aspectos de gerenciamento e planejamento da segurança, incluindo a determinação dos objetivos, estratégias, políticas e requisitos organizacionais de segurança de TI; • Estágio 3: Técnicas para o gerenciamento de segurança de TI - descreve técnicas para o gerenciamento de riscos e para o desenvolvimento de um plano de segurança de TI; • Estágio 4: Seleção de medidas de segurança - explica o processo de seleção das medidas de segurança de acordo com as necessidades específicas do ambiente da organização usando medidas de garantia de segurança de outras normas; • Estágio 5: Guia de gerenciamento de segurança de rede - descreve um processo para a seleção de medidas de segurança, para conexões de sistemas de TI de redes externas, diferenciado pelos tipos de conexão. 2.2.2.2. ISO/IEC 15408 (Common Criteria). A ISO/IEC 15408 (Common Criteria) é um conjunto de critérios que permite a especificação da segurança de uma aplicação, baseado nas características do ambiente de desenvolvimento (COELHO, 2007). Dessa forma, o Common Criteria fornece um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em SI e produtos de TI. O propósito do Common Criteria é permitir que os usuários especifiquem suas exigências de segurança, para permitir aos desenvolvedores especificar os atributos de segurança de seus produtos e para permitir aos avaliadores determinar se os produtos realmente satisfazem suas reivindicações (MELLADO et al., 2007). A aplicação do Common Criteria destina-se a proteção dos aspectos de segurança de TI que são a confidencialidade, integridade e disponibilidade (COMMON CRITERIA,.

(28) 28. 2003). Assim, o Common Criteria é aplicável aos riscos decorrentes das atividades humanas (maliciosas ou não) e para os riscos decorrentes de atividades não-humanas. 2.2.3. Normas de gestão e maturidade de riscos de segurança. Nesta subseção serão apresentadas as normas ISO/IEC 27005, ISO/IEC 21827:2008 (SSE-CMM) e NIST SP 800-30, a fim de descrever como cada norma é desenvolvida e como a gestão de riscos é tratada. 2.2.3.1. ISO/IEC 27005. A ISO/IEC 27005 é integrante da família da norma ISO/IEC 27000 (CAMPOS, 2007). Esta norma fornece diretrizes para a segurança da informação da gestão de riscos, que suporta os conceitos gerais especificados na norma ISO/IEC 27001. Seu objetivo é fornecer um guia para a implementação da abordagem de gerenciamento de riscos orientada ao processo, para auxiliar na execução e no cumprimento satisfatório da implementação da gestão de riscos da informação, baseado nos requisitos da norma ISO/IEC 27001. Nesta norma é encontrado um conjunto de técnicas que são empregadas para guiar o gerenciamento dos riscos de segurança, incluindo recomendações sobre a avaliação de riscos, tratamento, aceitação, comunicação, monitoramento e revisão dos riscos. 2.2.3.2. NIST SP 800-30. O NIST (National Institute of Standards & Technology) SP (Special Publication) 800-30 é uma abordagem destinada para avaliação qualitativa dos riscos, que foi baseada em trabalhos já realizados por analistas de segurança com sistemas proprietários. Essa abordagem trabalha para identificar, avaliar e gerenciar os riscos em sistemas de TI. A metodologia de desenvolvimento da abordagem NIST SP 800-30 consiste de nove processos (STONEBURNER, GOGUEN e FERINGA, 2002):.

(29) 29. • Processo 1 - Caracterização do sistema; • Processo 2 - Identificação das ameaças; • Processo 3 - Identificação das vulnerabilidades; • Processo 4 - Análise dos controles; • Processo 5 - Determinação das probabilidades; • Processo 6 - Análise do impacto; • Processo 7 - Determinação dos riscos; • Processo 8 - Recomendações de controles; e • Processo 9 - Documentação dos resultados. 2.2.3.3. ISO/IEC 21827:2008 (SSE-CMM). A norma ISO/IEC 21827:2008 ou modelo SSE-CMM (Systems Security Engineering Capability Maturity Model) foi desenvolvido pelo ISSEA (International Systems Security Engineering Association) em 1999. Esta norma descreve as características essenciais que um processo de engenharia da segurança da informação deve possuir para assegurar a boa segurança (SSE-CMM, 2003). A norma ISO/IEC 21827:2008 examina a maturidade dos processos de engenharia da segurança de TI executados por uma organização (HOPKINSON, 1999). Esta norma baseia-se na implementação de processos de segurança (Process Areas) destinados a atender áreas específicas de segurança. O processo dado pela ISO/IEC 21827:2008 inclui um conjunto de Process Areas que são avaliadas para determinar o nível de maturidade. A maturidade dos processos que são atribuídos por cinco níveis, dando a organização os resultados dos processos implementados..

(30) 30. O desenvolvimento da ISO/IEC 21827:2008 pode ser realizado pelas organizações de acordo os seu objetivos organizacionais. Assim cada organização pode definir quais Process Areas implementar e quais níveis de maturidade se deseja alcançar. As Process Areas podem alcançar diferentes níveis de maturidade, estabelecidos de forma a facilitar o desenvolvimento da norma (HOPKINSON, 1999). Maiores detalhes sobre a estrutura da norma ISO/IEC 21827:2008 são descritos no capítulo 3. 2.2.4. Metodologias de gestão de riscos. Nesta subseção serão apresentadas as metodologias COSO, OCTAVE, CRAMM, CORAS, FRAP, COBRA e Risk Watch por apresentarem uma alta taxa de aceitação nas organizações e por estarem baseadas nas práticas, normas e padrões nacionais e internacionais de gerenciamento de riscos. 2.2.4.1. COSO. O COSO (Comittee of Sponsoring Organizations of the Treadway Commission) é um controle interno que foi criado em 1992. Ele tem por objetivo definir um processo para garantir que os objetivos da organização sejam atingidos (CARVALHO, 2009). O controle interno definido pelo COSO compreende de um plano para a organização e um conjunto coordenado de métodos e medidas para proteger o patrimônio, verificar a exatidão dos dados contábeis, promover a eficiência operacional e encorajar a adesão da política estipulada pela administração. Em 2004, o COSO passou a integrar a avaliação global do sistema de gestão de riscos chamado COSO Enterprise Risk Management - Integrated Framework (ERBEN, 2008). Os processos definidos pelo controle interno do COSO são constituídos por cinco elementos que estão inter-relacionados (CARVALHO, 2009): • Ambiente de controle; • Avaliação e gerenciamento de riscos;.

(31) 31. • Atividade de controle; • Informação e comunicação; • Monitoramento. 2.2.4.2. OCTAVE. A abordagem OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) foi desenvolvida pela equipe do SEI (Software Engineering Institute), responsável pelo desenvolvimento do CMM/CMMI (Capability Maturity Model / Capability Maturity Model Integration). É uma metodologia que recomenda um processo de sessões nas quais os colaboradores que trabalham na área analisada da organização definem os riscos e as medidas de proteção (STONEBURNER; GOGUEN e FERINGA, 2002). A abordagem OCTAVE está focada na identificação dos ativos críticos e das ameaças sobre esses ativos, das vulnerabilidades organizacionais e tecnológicas, que expõem essas ameaças e criam um risco para a organização (WOODY, 2006). A OCTAVE usa uma metodologia com três fases para examinar a organização e os recursos tecnológicos, fornecendo um gráfico de informações das necessidades de segurança da organização. O principal objetivo da metodologia OCTAVE é ajudar as organizações a melhorar a habilidade de gerenciar e proteger os riscos de segurança da informação (OLIVEIRA, 2006). 2.2.4.3. CRAMM. O CRAMM (CCTA RISK Analisys and Management Method) é uma abordagem que foi desenvolvida pelo governo britânico da organização CCTA (Central Communication and Telecom Agency), agora denominado OGC (Office of Government Commerce). Essa metodologia é utilizada por muitas organizações em torno do mundo por oferecer suporte a implementação da ISO/IEC 17799 (MARQUIS, 2006)..

(32) 32. O CRAMM é uma abordagem para o desenvolvimento do processo de gerenciamento de riscos que identifica as ameaças face aos ativos e vulnerabilidades para gerir o risco e propor contramedidas. Essa abordagem fornece uma ferramenta para calcular o risco sobre a exploração de uma vulnerabilidade sobre um ativo, ajudando a evitar, reduzir ou estabelecer riscos aceitáveis (YAZAR, 2002). A avaliação de um ativo é realizada para identificar o potencial de dano que pode ser causado por uma falha na confidencialidade, integridade ou disponibilidade (MARQUIS, 2006). O CRAMM supõe que o custo para eliminar o risco restringe o seu uso pelas organizações, mas quando adotado pode reduzir efetivamente o risco (JONES e ASHENDEN, 2005). 2.2.4.4. CORAS. O CORAS é um método para conduzir a análise da segurança baseado em técnicas tradicionais de análise de segurança como a técnica brainstorming, análise de árvore de falhas (FTA - Fault Tree Analysis) e análise de modo e efeito de falha (FEMEA - Failure Mode and Effect Analysis), combinado com o desenvolvimento UML (Unified Modeling Language) (AAGEDAL et al., 2002). O modelo CORAS para a avaliação de riscos de segurança é separado em três diferentes componentes: 1. O CORAS linguagem de modelagem de riscos: inclui a sintaxe gráfica dos diagramas do CORAS e a sintaxe textual e semântica; 2. O método CORAS: descreve o passo-a-passo do processo de análise de segurança com um guia para a construção de diagramas; 3. A ferramenta CORAS: uma ferramenta para documentar, manter e relatar resultados de analises de riscos. O CORAS está baseado nas normas AS/NZS 4360, ISO/IEC 17799, ISO/IEC 13335 e.

(33) 33. em um sistema de documentação em forma de modelo de referência para processamento distribuído aberto (AAGEDAL et al., 2002). 2.2.4.5. FRAP. A abordagem FRAP (Facilitated Risk Assessment Process) foi desenvolvida por Thomas Peltier e está baseada na aplicação de técnicas de gestão de riscos de uma forma altamente eficáz em termos de custos (OLIVEIRA, 2006). Ela foi designada como uma abordagem que pode ser usada pelos próprios gerentes com a assistência de um facilitador. O FRAP consiste de um processo que deve ser completado em um período de dez dias de avaliação (LANDOLL, 2006). Essa abordagem utiliza métodos quantitativos para mitigar o risco e fornecer templates e checklists. Os processos que envolvem o desenvolvimento da abordagem FRAP são: • Sessão de brainstorming para identificar as ameaças; • Atribuição de níveis de impacto e de probabilidade de cada ameaça; • Identificação e atribuição de controles; • Relatório de gerenciamento. 2.2.4.6. COBRA. A abordagem COBRA (Consultative, Objective and Bi-functional Risk Analysis) consiste de um conjunto de ferramentas e aplicativos que são utilizados para realizar auto-avaliações do risco. Essas ferramentas foram desenvolvidas para o reconhecimento da natureza mutável da segurança de TI e das exigências colocadas pelas organizações em suas áreas (ELKY, 2006). Existem dois produtos primários do COBRA: o Consultor de Riscos e a Conformidade ISO. O consultor de riscos é uma ferramenta com o conhecimento construído em bases.

(34) 34. e modelos que permitem o usuário criar questionários para recolher informações sobre tipos de bens, vulnerabilidades, ameaças e controles. A partir destas informações, o consultor de riscos cria relatórios e faz recomendações de forma personalizada. A conformidade ISO é uma ferramenta semelhante, porém sua avaliação está centrada no cumprimento da norma ISO/IEC 17799. A metodologia COBRA fornece um serviço de avaliação de riscos quantitativo e qualitativo, com o uso de questionários baseados em sistemas PC usando sistemas peritos e uma extensiva base de conhecimento (ELKY, 2006). O COBRA avalia a importância relativa de todas as ameaças e vulnerabilidades gerando recomendações e soluções. Ele possui relatórios que fornecem a avaliação dos riscos relativos com a pontuação ou o nível, para cada categoria de riscos. Os riscos identificados são automaticamente relacionados com as implicações potenciais (financeiros, perda cliente, etc.) para a organização ou departamento. 2.2.4.7. Risk Watch. A abordagem Risk Watch é uma metodologia que utiliza uma base de dados de conhecimento especializada para encaminhar o usuário ao gerenciamento de riscos. O Risk Watch fornece relatórios sobre o cumprimento das atividades e instruções para a gestão dos riscos (ELKY, 2006). A base de dados de conhecimento que é fornecida pela abordagem é totalmente personalizável pelo seu utilizador, incluindo a habilidade de criar novas categorias de ativos, ameaças, vulnerabilidades, salvaguardas e categorias de perguntas em um conjunto questões. A ferramenta inclui controles da norma ISO/IEC 17799 e US-NIST 800-26 além de outros produtos, cada um deles centrado ao longo do cumprimento de diferentes necessidades (OLIVEIRA, 2006). Essa abordagem de gerenciamento de riscos inclui informações estatísticas para apoiar a avaliação quantitativa dos riscos, permitindo ao usuário apresentar o ROI.

(35) 35. (Return On Investment) para várias estratégias de segurança.. 2.3. Conclusões Parciais. A gestão de riscos associada ao gerenciamento estratégico da segurança da informação, pode ser utilizada para estabelecer medidas preventivas de segurança que podem tanto tratar de riscos emergenciais como prevenir futuros riscos. A segurança pode ser planejada para garantir que não ocorram incidentes de segurança e ainda para definir prioridades de proteção. O gerenciamento estratégico da segurança pode trazer maiores garantias de proteção para organização através da implementação de métodos e de procedimentos apropriados ao ambiente de exposição das informações. Além da redução dos custos relacionados aos investimentos em segurança e reparos ocasionados por falhas ou ausência de procedimentos de segurança. Com o conhecimento das ameaças, vulnerabilidades e riscos, as organizações podem estabelecer estratégias que acompanham a evolução das mudanças e as alterações das características dos riscos. O entendimento da segurança pode apoiar as decisões relacionadas ao desenvolvimento, manutenção ou operação dos procedimentos de segurança. O desenvolvimento da gestão de riscos é realizado por meio de normas de segurança e normas específicas de gestão de riscos. Também existem metodologias de gestão de riscos que apóiam a mitigação, avaliação e gestão dos riscos. O uso dessas soluções fornecem maiores garantias de segurança a organização. Além dos fatores que contribuem para o aumento da segurança das informações, a gestão de riscos pode revelar fatos ainda desconhecidos pelas organizações. Essa premissa determina que não é possível estabelecer uma boa estratégia de segurança sem conhecer os riscos. Dessa forma a gestão de riscos influência diretamente no planejamento estratégico da segurança..

(36) 36. 3 INTEGRANDO NORMAS DE GESTÃO E MATURIDADE DE RISCOS DE SEGURANÇA. Neste capítulo serão descritas e analisadas as normas ISO/IEC 27001:2006 e ISO/IEC 21827:2008(SSE-CMM) buscando relacioná-las de forma que se possa compreender o processo de implantação e estabelecimento de cada uma. O objetivo é verificar como essas normas podem ser integradas para o desenvolvimento de um SGSI (Sistema de Gestão da Segurança da Informação) que forneça maiores garantias de proteção. Também é realizada a análise da abordagem e da estrutura de desenvolvimento que cada uma fornece. Partes deste capítulo e os resultados obtidos estão presentes no artigo “Desenvolvimento de Sistemas de Gestão da Segurança da Informação através da Integração das Normas ISO/IEC 27001:2006 e ISO/IEC 21827:2008 (SSE-CMM)”, publicado nos anais do V CONeGOV (Conferência Sul-Americana em Ciência e Tecnologia aplicada ao Governo Eletrônico)12 . 1. O V CONeGOV (Conferência Sul-Americana em Ciência e Tecnologia aplicada ao Governo Eletrônico) foi realizado nos dias 17, 18 e 19 de novembro de 2009 na cidade de Florianópolis - Santa Catarina, Brasil. Ressaltando a importância da publicação dos resultados de pesquisa e se consolidando como importante canal de comunicação científica. Detalhes do evento podem ser encontrados em http://www.i3g.org.br/conegov. 2 Este artigo foi premiado como o melhor artigo da conferência..

(37) 37. 3.1. O Desenvolvimento de Sistemas de Gestão da Segurança da Informação. A necessidade de garantir a confidencialidade, integridade e disponibilidade das informações faz com que as organizações estabeleçam um SGSI (HERRERA, 2005). Um SGSI é uma maneira de proteger e de gerenciar as informações sobre uma abordagem de riscos do negócio, que estabelece, implementa, monitora, revisa, mantém e melhora a segurança da informação (HANASHIRO, 2007). A coleção de componentes de segurança requeridos para um sistema ser implementado cuidadosamente, evitando o ataque de ameaças e a exposição a riscos, é chamado de SGSI (DEY, 2007). No desenvolvimento de um projeto de SGSI é aplicado um conjunto adequado de controles tais como políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware (HANASHIRO, 2007). Esse conjunto de controles de segurança é dado por normas e guias de segurança. A efetividade de um SGSI desenvolvido por uma organização está condicionada à efetividade dos controles de segurança da informação disponíveis (HERRERA, 2007). Sem a implementação adequada dos controles ou sem o apoio das normas de segurança, um SGSI pode não atender às necessidades de segurança organizacionais.. 3.2. Normas de Segurança. Nesta seção serão apresentadas duas normas de segurança, a ISO/IEC 27001:2006 recomendada pela Instrução Normativa GSI No 13 e a ISO/IEC 21827:2008 indicada para a melhoria dos processos de segurança organizacionais. Essas normas serão descritas e comparadas, a fim de identificar características específicas de segurança. 3. A Instrução Normativa GSI No 1, de 13 de junho de 2008, recomenda e orienta a condução de políticas de segurança da informação e comunicações já existentes ou a serem implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta (FELIX, 2008)..

(38) 38. 3.2.1. A estrutura de desenvolvimento da norma ISO/IEC 27001:2006. A norma ISO/IEC 27001:2006 foi construída baseada na norma britânica BS7799 e na ISO/IEC 17799 (ABNT NBR ISO/IEC 27001, 2006). Seu objetivo é proporcionar um modelo para o estabelecimento, implementação, funcionamento, acompanhamento, revisão, manutenção e melhoria do SGSI, dentro do contexto dos riscos globais do negócio da organização (FENZ et al., 2007). Esta norma pode ser aplicada em todos os tipos de organizações, como por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos, etc. Esta norma é principalmente adotada para o estabelecimento de estratégias de segurança pela organização e pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas (ABNT NBR ISO/IEC 27001, 2006). O SGSI projetado pela norma assegura a seleção de controles de segurança adequados e proporcionados para proteger os ativos da informação propiciando confiança às partes interessadas. Todos os controles de segurança recomendados pela norma ISO/IEC 27001:2006 são encontrados na norma ISO/IEC 17799:2005. A norma ISO/IEC 17799:2005 está contida na ISO/IEC 27001:2006, ou seja, a norma ISO/IEC 27001:2006 fornece um processo definido de implantação dos controles da norma ISO/IEC 17799:2005. A norma ISO/IEC 27001:2006 aplica um sistema de processos dentro da organização, junto com a identificação e interações destes processos. Essa abordagem de processos enfatiza a importância dos seguintes aspectos: • Entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança da informação; • Implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos globais do negócio;.

(39) 39. • Monitoração e análise crítica do desempenho e eficácia do SGSI; e • Melhoria contínua baseada em medições objetivas. A norma ISO/IEC 27001:2006 incorpora o ciclo Plan-Do-Check-Act (PDCA), que é adotado em toda a estrutura dos processos do SGSI. O ciclo PDCA baseia-se no ciclo de melhoria continua que consiste em planejar (Plan - P), fazer (Do - D), verificar (Check C) e agir (Act - A). O ciclo PDCA é uma ferramenta importante para a análise e melhoria dos processos organizacionais contribuindo para a tomada de decisões gerenciais e para o alcance das metas e objetivos da organização (KAJAVA et al., 2006). 3.2.2. A estrutura de desenvolvimento da norma ISO/IEC 21827:2008 (SSE-CMM). A norma ISO/IEC 21827:2008 não prescreve uma sequência ou um processo particular, mas captura as práticas que são geralmente observadas na indústria. Esta norma é designada para todos os tipos de organizações, sendo usada para a melhoria e avaliação da capacidade de maturidade dos processos de segurança (SG-SBP, 2008). A estrutura de desenvolvimento da norma ISO/IEC 21827:2008 é dada por 22 PAs (Process Areas), divididas em dois grupos, Práticas Base de Segurança e Práticas Base Organizacionais e do Projeto. A estrutura de distribuição das PAs em seus grupos correspondentes pode ser vista na tabela 3.1. Tabela 3.1: Estrutura de distribuição das PAs da norma ISO/IEC 21827:2008 (SSE-CMM). Categorias. Práticas Base de Segurança. PAs (Process Areas) PA01 - Administrar os Controles de Segurança PA02 - Avaliar o Impacto PA03 - Avaliar os Riscos de Segurança PA04 - Avaliar as Ameaças PA05 - Avaliar as Vulnerabilidades PA06 - Construir Argumentos de Segurança PA07 - Coordenar a Segurança PA08 - Monitorar a Postura da Segurança PA09 - Estabelecer a Entrada de Segurança continua na próxima página.

(40) 40. Tabela 3.1: Estrutura de distribuição das PAs da norma ISO/IEC 21827:2008 (SSECMM)(continuação). Categorias. Práticas Base Organizacionais e do Projeto. PAs (Process Areas) PA10 - Especificar as necessidades de segurança PA11 - Verificar e Validar a Segurança PA12 - Assegurar a Qualidade PA13 - Gerenciar a Configuração PA14 - Gerenciar o Risco do Projeto PA15 - Monitorar e Controlar o Esforço Técnico PA16 - Planejar o Esforço Técnico PA17 - Definir o Processo de Engenharia de Sistemas da Organização PA18 - Melhorar o Processo de Engenharia de Sistemas da Organização PA19 - Gerenciar a Evolução da Linha do Produto PA20 - Gerenciar o Ambiente de Suporte a Engenharia de Sistemas PA21 - Promover a Habilidade e Conhecimento Progressivo PA22 - Coordenar com os Fornecedores. A norma ISO/IEC 21827:2008 também define níveis de maturidade dos processos de segurança da organização que são ampliados após o estabelecimento e cumprimento das práticas da segurança (BATISTA, 2007). O processo mais “maduro” define uma organização cujos processos são melhores definidos e conduzidos. São seis níveis de maturidade definidos, onde cada um desses níveis consiste de um número de Práticas Genéricas (GP - Generic Practices) que suportam o desempenho das PAs. Os níveis de maturidade atribuídos pela norma ISO/IEC 21827:2008 são: • Nível 0 - Práticas base não são realizadas; • Nível 1 - Práticas base são realizadas informalmente; • Nível 2 - Práticas base são planejadas e monitoradas; • Nível 3 - Práticas base estão bem definidas;.

(41) 41. • Nível 4 - Práticas base são controladas quantitativamente; • Nível 5 - Práticas base estão em contínua melhoria. Uma característica marcante da ISO/IEC 21827:2008 é a utilização de métricas de segurança para avaliar os processos. As métricas de segurança são abordadas nos níveis mais altos de maturidade para um processo bem definido ou em contínua melhoria (SSE-CMM, 2003). Kormos et al.(1999) cita que a ISO/IEC 21827:2008 fornece para a organização um conjunto de métricas para avaliar a segurança dos produtos, serviços ou operacões. O processo de melhoria e maturidade organizacional da norma ISO/IEC 21827:2008 é realizado por meio do modelo IDEAL e é usado para definir ações que capacitem as organizações a melhorar seus processos. O modelo IDEAL serve como um guia para iniciar, planejar e implementar ações de melhoria. A palavra IDEAL é um acrônimo do inglês para Iniciar (initiating), Diagnosticar (diagnosing), Estabelecer (establishing), Agir (acting) e Aprender (learning). O modelo IDEAL forma uma infra-estrutura de cinco fases para guiar organizações no planejamento e na implementação de um efetivo programa de melhoria de processos (ISO/IEC 21827, 2008). 3.2.3. Análise comparativa das normas ISO/IEC 27001:2006 e ISO/IEC 21827:2008. Para que se possa compreender a relação entre as normas ISO/IEC 27001:2006 e ISO/IEC 21827:2008 foram realizadas duas comparações. Na primeira comparação, as características da norma ISO/IEC 27001:2006 são comparadas com as da norma ISO/IEC 21827:2008. Na segunda comparação, são identificados os controles da norma ISO/IEC 17799:2005 que correspondem as PAs da norma ISO/IEC 21827:2008. As informações para critério de comparação foram obtidas dos documentos ABNT NBR ISO/IEC 27001:2006 (ABNT NBR 27001, 2006), ABNT NBR ISO/IEC 17799 (NBR ISO/IEC 17799, 2005) e SSE-CMM Systems Security Engineering Capability Maturity Model Model Description Document vesion 3.0 (SSE-CMM, 2003)..

(42) 42. Como resuldado da primeira comparacão (ver Tabela 3.2, foi observado que as normas apresentam duas visões que estão permanentemente presentes antes e depois do SGSI ser implementado: a visão funcional e a visão de processos. A visão funcional é representada pela norma ISO/IEC 27001:2006 que fornece uma estrutura de recomendações que deve ser seguida para o desenvolvimento de um SGSI. Já a norma ISO/IEC 21827:2008 representa uma visão de processos, que fornece as práticas que devem ser implementadas para a construção de um SGSI. Com relação ao ciclo de melhoria, que indica uma ferramenta de qualidade para o desenvolvimento da norma, verifica-se que a ISO/IEC 27001:2006 utiliza o ciclo de melhoria PDCA para a análise e melhoria dos processos organizacionais, enquanto a ISO/IEC 21827:2008 utiliza o modelo IDEAL. Ambos os modelos consistem em um ciclo de atividades modelado para guiar a melhoria contínua e para desenvolvimento adequado de cada norma. Tanto a norma ISO/IEC 27001:2006 como a norma ISO/IEC 21827:2008 podem ser adotadas por qualquer tipo de organização, seja ela de pequeno ou grande porte. Isso indica que não há restrições quanto ao uso das normas e a escolha de aderir a uma ou a outra norma de segurança, que deve ser direcionada ao atendimento dos objetivos de segurança organizacionais. O desenvolvimento da norma ISO/IEC 27001:2006 está baseada na implementação dos controles de segurança contidos na ISO/IEC 17799:2005. Dessa forma, a ISO/IEC 27001:2006 implementa a ISO/IEC 17799:2005. Na ISO/IEC 21827:2008 não há um documento de segurança complementar para o seu desenvolvimento. Ela é implantada por meio da implementação das PAs e é avaliada pelo método SSAM (SSE-CMM Appraisal Method). Uma característica importante da ISO/IEC 21827:2008 é o uso das métricas para avaliar os processos de segurança e estabelecer níveis de maturidade. Essa característica está voltada ao gerenciamento da segurança. Já a norma ISO/IEC 27001:2006 foi.